Géant du gestionnaire de mots de passe LastPass a confirmé que des cybercriminels avaient volé les coffres-forts de mots de passe cryptés de ses clients, qui stockent les mots de passe et autres secrets de ses clients, lors d’une violation de données plus tôt cette année.
Dans un article de blog mis à jour sur sa divulgation, le PDG de LastPass, Karim Toubba, a déclaré que les intrus avaient pris une copie d’une sauvegarde des données du coffre-fort client en utilisant des clés de stockage dans le cloud volées à un employé de LastPass. Le cache des coffres-forts de mots de passe des clients est stocké dans un « format binaire propriétaire » qui contient à la fois des données de coffre-fort non cryptées et cryptées, mais les détails techniques et de sécurité de ce format propriétaire n’ont pas été spécifiés. Les données non chiffrées incluent les adresses Web stockées dans le coffre-fort. On ne sait pas à quel point les sauvegardes volées sont récentes.
LastPass a déclaré que les coffres-forts de mots de passe des clients sont cryptés et ne peuvent être déverrouillés qu’avec le mot de passe principal des clients, qui n’est connu que du client. Mais la société a averti que les cybercriminels à l’origine de l’intrusion « pourraient tenter d’utiliser la force brute pour deviner votre mot de passe principal et déchiffrer les copies des données du coffre-fort qu’ils ont prises ».
Toubba a déclaré que les cybercriminels ont également pris de vastes quantités de données sur les clients, y compris les noms, les adresses e-mail, les numéros de téléphone et certaines informations de facturation.
Les gestionnaires de mots de passe sont extrêmement utiles pour stocker vos mots de passe, qui doivent tous être longs, complexes et uniques à chaque site ou service. Mais les incidents de sécurité comme celui-ci nous rappellent que tous les gestionnaires de mots de passe ne sont pas créés égaux et peuvent être attaqués ou compromis de différentes manières. Étant donné que le modèle de menace de chacun est différent, personne n’aura les mêmes exigences que l’autre.
Dans une situation rare (pas une faute de frappe) comme celle-ci – que nous avons expliquée dans notre analyse de l’avis de violation de données de LastPass – si un mauvais acteur a accès aux coffres-forts de mots de passe cryptés des clients, « tout ce dont ils auraient besoin est le mot de passe principal de la victime ». Un coffre-fort de mots de passe exposé ou compromis n’est aussi fort que le cryptage – et le mot de passe – utilisé pour le brouiller.
La meilleure chose que vous puissiez faire en tant que client LastPass est de remplacer votre mot de passe principal LastPass actuel par un nouveau mot de passe unique (ou phrase secrète) qui est écrit et conservé en lieu sûr. Cela signifie que votre coffre-fort LastPass actuel est sécurisé.
Si vous pensez que votre coffre-fort de mots de passe LastPass pourrait être compromis, par exemple si votre mot de passe principal est faible ou si vous l’avez utilisé ailleurs, vous devez commencer à modifier les mots de passe stockés dans votre coffre-fort LastPass. Commencez par les comptes les plus critiques, tels que vos comptes de messagerie, votre compte de forfait de téléphonie mobile, vos comptes bancaires et vos comptes de médias sociaux, et progressez dans la liste des priorités.
La bonne nouvelle est que tout compte protégé par une authentification à deux facteurs rendra beaucoup plus difficile pour un attaquant d’accéder à vos comptes sans ce deuxième facteur, comme une fenêtre contextuelle téléphonique ou un code envoyé par SMS ou par e-mail. C’est pourquoi il est important de sécuriser d’abord ces comptes secondaires, comme vos comptes de messagerie et vos forfaits de téléphonie mobile.